De Cbw is de Nederlandse uitwerking van de Europese NIS2-richtlijn. Ze legt de verantwoordelijkheid voor cyberweerbaarheid expliciet bij organisaties en hun bestuurders. Bestuurders zijn juridisch aansprakelijk voor tekortkomingen in beveiligingsmaatregelen en worden geacht actief sturing en toezicht te geven. Naast de Cbw gelden voor specifieke sectoren, zoals overheid en financiële sector, aanvullende normen, zoals de Baseline Informatiebeveiliging Overheid (BIO2) en de Digital Operational Resilience Act (DORA) voor de financiële sector.
Praktisch hulpmiddel
Het Control Framework geeft organisaties inzicht in de mate waarin zij invulling geven aan de wet. Het helpt ook om verbeterpunten te identificeren. Het framework maakt gebruik van een volwassenheidsmodel waarmee organisaties hun huidige niveau en groeipad in kaart kunnen brengen. Het raamwerk is beschikbaar in Excel en kan worden aangepast door sectorale of organisatiespecifieke normen toe te voegen of te verwijderen.
Beheersmaatregelen en meldplicht
De beheersmaatregelen in het framework zijn rechtstreeks ontleend aan de Cbw en het Cyberbeveiligingsbesluit (Cbb), met nadruk op de zorgplicht. Daarbij gaat het om maatregelen rond risicoanalyse, personeelsbeleid, continuïteit, incidentbehandeling, ketenbeveiliging, cryptografie en multifactorauthenticatie. Ook de meldplicht voor significante incidenten is opgenomen. De registratieplicht valt buiten het framework maar blijft een verplicht onderdeel van de wet.
Vijf niveaus
Het volwassenheidsmodel sluit aan bij het beoordelingsmodel van NBA/NOREA en kent vijf niveaus, van ad hoc tot continue verbetering. Daarmee kan een organisatie groeien van een ongeorganiseerde, reactieve aanpak naar een situatie waarin informatiebeveiliging systematisch is ingebed en voortdurend wordt verbeterd. Organisaties kunnen per thema scoren en deze resultaten visualiseren in radar- en staafdiagrammen. Daarmee krijgen bestuurders en toezichthouders in één oogopslag inzicht in sterke en zwakke punten.
Toepassing
Voor accountants en IT-auditors biedt het framework een handvat bij verschillende soorten opdrachten. Het kan worden ingezet bij assurance-opdrachten op basis van Standaard 3000A, rapportages van feitelijke bevindingen onder Richtlijn 4400 of adviesopdrachten onder Richtlijnen 210 en 230. Het framework ondersteunt zowel interne als externe audits en kan dienen als toetsingsbasis voor zelfevaluaties. Daarbij wordt nadruk gelegd op scopebepaling: auditors moeten vaststellen of de evaluatie betrekking heeft op de juiste systemen en processen.
Sectorale normen
De Excel-versie bevat naast de generieke verplichtingen ook mappings naar sectorspecifieke normen zoals DORA en BIO2. Bovendien is er een optionele evaluatie opgenomen volgens ISO/IEC 27001, gebaseerd op de Plan-Do-Check-Act-cyclus. Dit maakt het mogelijk om naast de wettelijke vereisten ook de managementsystematiek rond informatiebeveiliging te toetsen.
De Rijksinspectie Digitale Infrastructuur (RDI) heeft een aanvullende zelfevaluatietool ontwikkeld waarmee organisaties kunnen bepalen of zij onder de reikwijdte van de Cbw vallen. Essentiële entiteiten vallen onder intensiever toezicht en riskeren hogere boetes bij tekortkomingen, terwijl voor belangrijke entiteiten een lichter regime geldt. Micro- en kleinbedrijven vallen in principe buiten de wet, maar kunnen alsnog worden aangewezen indien hun dienstverlening van cruciaal belang is.
Brede steun
Het Control Framework wordt onderschreven door het Nationaal Cyber Security Centrum (NCSC) en toezichthouders op de Cyberbeveiligingswet. Zij benadrukken dat naleving van de wet altijd de verantwoordelijkheid van de organisatie zelf blijft, maar zien het raamwerk als een nuttige invulling van eerdere oproepen tot sectorbrede samenwerking.
Het Cbw (NIS2) Control Framework en het bijbehorende studierapport kunnen hier gedownload worden.
Geef een reactie